🥇Multivan וניתוב ב-Mikrotik RouterOS

מבוא

קבלת המאמר, בנוסף להבל, נבע מהתדירות המדכאת של שאלות בנושא זה בקבוצות הפרופיל של קהילת הטלגרם דוברי הרוסית. המאמר מיועד למנהלי Mikrotik RouterOS מתחילים (להלן ROS). הוא עוסק רק במולטיוואן, בדגש על ניתוב. כבונוס, ישנן הגדרות מספיקות במינימום כדי להבטיח פעולה בטוחה ונוחה. מי שמחפש חשיפה של נושאי תורים, איזון עומסים, vlans, גשרים, ניתוח עמוק רב-שלבי של מצב הערוץ וכדומה - עלול שלא לבזבז זמן ומאמץ בקריאה.

נתונים גולמיים

כנבדק, נבחר נתב Mikrotik בעל חמש יציאות עם גרסת ROS 6.45.3. הוא ינתב תעבורה בין שתי רשתות מקומיות (LAN1 ו-LAN2) לשלושה ספקים (ISP1, ISP2, ISP3). לערוץ ל-ISP1 יש כתובת סטטית "אפורה", ISP2 - "לבנה", המתקבלת באמצעות DHCP, ISP3 - "לבנה" עם הרשאת PPPoE. תרשים החיבור מוצג באיור:

המשימה היא להגדיר את נתב MTK בהתבסס על הסכימה כך:

ספק מעבר אוטומטי לספק גיבוי. הספק הראשי הוא ISP2, העתודה הראשונה היא ISP1, העתודה השנייה היא ISP3.
ארגן גישה לרשת LAN1 לאינטרנט רק דרך ISP1.
ספק את היכולת לנתב תעבורה מרשתות מקומיות לאינטרנט דרך הספק הנבחר בהתבסס על רשימת הכתובות.
לספק אפשרות לפרסום שירותים מהרשת המקומית לאינטרנט (DSTNAT)
הגדר מסנן חומת אש כדי לספק אבטחה מינימלית מספקת מהאינטרנט.
הנתב יכול להנפיק תעבורה משלו דרך כל אחד משלושת הספקים, בהתאם לכתובת המקור שנבחרה.
ודא שמנות התגובה מנותבות לערוץ שממנו הגיעו (כולל LAN).

REMARK. אנו נגדיר את הנתב "מאפס" על מנת להבטיח היעדר הפתעות בתצורות ההתחלתיות "מחוץ לקופסה" המשתנות מגרסה לגרסה. Winbox נבחרה ככלי תצורה, שבו השינויים יוצגו ויזואלית. ההגדרות עצמן יוגדרו על ידי פקודות במסוף Winbox. החיבור הפיזי לתצורה נעשה על ידי חיבור ישיר לממשק Ether5.

קצת היגיון לגבי מה זה מולטיוואן, האם זו בעיה או שאנשים חכמים ערמומיים סביב אריגת רשתות קונספירציה

מנהל סקרן וקשוב, שמקים תוכנית כזו או דומה בעצמו, פתאום מבין שזה כבר עובד כרגיל. כן, כן, ללא טבלאות הניתוב המותאמות אישית וכללי מסלול אחרים, שרוב המאמרים בנושא זה מלאים בהם. בוא נבדוק?

האם נוכל להגדיר כתובת בממשקים ושער ברירת מחדל? כן:

ב-ISP1, הכתובת והשער נרשמו עם מרחק=2 и check-gateway=ping.
ב-ISP2, הגדרת ברירת המחדל של לקוח dhcp - בהתאם, המרחק יהיה שווה לאחד.
ב-ISP3 בהגדרות לקוח pppoe כאשר add-default-route=yes לָשִׂים default-route-distance=3.

אל תשכח לרשום NAT ביציאה:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

כתוצאה מכך, משתמשים באתרים מקומיים נהנים להוריד חתולים דרך ספק ISP2 הראשי וישנה הזמנת ערוצים באמצעות המנגנון לבדוק שער ראה הערה 1

נקודה 1 של המשימה מיושמת. איפה המולטיוואן עם הסימנים שלו? לא…

נוסף. עליך לשחרר לקוחות ספציפיים מה-LAN דרך ISP1:

/ip חומת אש mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=yes route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip חומת אש mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=no route-dst=100.66.66.1 src-address=192.168.88.0/24

פריטים 2 ו-3 של המשימה יושמו. תוויות, חותמות, חוקי מסלול, איפה אתה?!

צריך לתת גישה לשרת OpenVPN המועדף עליך עם הכתובת 172.17.17.17 עבור לקוחות מהאינטרנט? אנא:

/ip cloud set ddns-enabled=yes

בתור עמית, אנו נותנים ללקוח את תוצאת הפלט: ": לשים [ענן IP קבל dns-name]"

אנו רושמים העברת יציאות מהאינטרנט:

/ip חומת אש nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list=פרוטוקול WAN=udp to-addresses=172.17.17.17

פריט 4 מוכן.

הקמנו חומת אש ואבטחה נוספת לנקודה 5, במקביל אנו שמחים שהכל כבר עובד למשתמשים ומגיעים למיכל עם משקה אהוב...
א! מנהרות נשכחות.

l2tp-client, שהוגדר על ידי מאמר גוגל, עלה ל-VDS ההולנדי המועדף עליך? כן.
שרת l2tp עם IPsec עלה ולקוחות לפי שם DNS מ-IP Cloud (ראה למעלה.) נאחזים? כן.
נשענים לאחור על הכיסא, לוגמים משקה, אנו שוקלים בעצלתיים את נקודות 6 ו-7 של המשימה. אנחנו חושבים - האם אנחנו צריכים את זה? בכל זאת, זה עובד ככה (ג) ... אז אם זה עדיין לא נחוץ, אז זהו. מולטיוואן מיושם.

מה זה מולטיוואן? זהו חיבור של מספר ערוצי אינטרנט לנתב אחד.

אתה לא צריך לקרוא את המאמר יותר, כי מה יכול להיות שם מלבד הצגה של ישימות מפוקפקת?

למי שנשאר, שמתעניין בנקודות 6 ו-7 של המשימה, וגם מרגיש גרד של פרפקציוניזם, אנחנו צוללים יותר לעומק.

המשימה החשובה ביותר של הטמעת מולטיוואן היא ניתוב תנועה נכון. כלומר: בלי קשר לאיזה (או איזה) ראה. הערה 3 ערוצי ספק שירותי האינטרנט מסתכלים על מסלול ברירת המחדל בנתב שלנו, הוא אמור להחזיר תגובה לערוץ המדויק ממנו הגיעה החבילה. המשימה ברורה. איפה הבעיה? אכן, ברשת מקומית פשוטה המשימה זהה, אבל אף אחד לא מתעסק בהגדרות נוספות ולא מרגיש צרות. ההבדל הוא שכל צומת ניתן לניתוב באינטרנט נגיש דרך כל אחד מהערוצים שלנו, ולא דרך אחד ספציפי למהדרין, כמו ברשת LAN פשוטה. וה"בעיה" היא שאם הגיעה אלינו בקשה לכתובת ה-IP של ISP3, אז במקרה שלנו התשובה תעבור בערוץ ISP2, שכן שער ברירת המחדל מופנה לשם. משאיר ויוסר על ידי הספק כשגוי. הבעיה זוהתה. איך לפתור את זה?

הפתרון מחולק לשלושה שלבים:

הגדרה מראש. בשלב זה יוגדרו ההגדרות הבסיסיות של הנתב: רשת מקומית, חומת אש, רשימות כתובות, NAT סיכת ראש וכו'.
מולטיוואן. בשלב זה יסומנו החיבורים הדרושים וימוינו לטבלאות ניתוב.
מתחבר לספק אינטרנט. בשלב זה יוגדרו הממשקים המספקים חיבור לאינטרנט, יופעל ניתוב ומנגנון הזמנת ערוץ האינטרנט.

1. הגדרה מראש

1.1. אנו מנקים את תצורת הנתב עם הפקודה:

/system reset-configuration skip-backup=yes no-defaults=yes

מסכים עם "מְסוּכָּן! לאפס בכל זאת? [י/N]:" ולאחר אתחול מחדש, אנו מתחברים ל- Winbox דרך MAC. בשלב זה, התצורה ובסיס המשתמשים מנוקים.

1.2. צור משתמש חדש:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

היכנס תחתיו ומחק את ברירת המחדל:

/user remove admin

REMARK. ההסרה ואי השבתה של משתמש ברירת המחדל היא שהמחבר מחשיב לבטוח יותר וממליץ לשימוש.

1.3. אנו יוצרים רשימות ממשקים בסיסיות לנוחות ההפעלה בחומת אש, הגדרות גילוי ושרתי MAC אחרים:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

ממשקי חתימה עם הערות

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

ומלא את רשימות הממשק:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

REMARK. כתיבת הערות מובנות שווה את הזמן המושקע בזה, בנוסף זה מקל מאוד על פתרון בעיות והבנת התצורה.

המחבר רואה צורך, מטעמי אבטחה, להוסיף את ממשק ether3 לרשימת ממשקי "WAN", למרות העובדה שפרוטוקול ה-ip לא יעבור דרכו.

אל תשכח שאחרי שממשק PPP יועלה על ether3, יהיה צורך להוסיף אותו גם לרשימת הממשקים "WAN"

1.4. אנו מסתירים את הנתב מזיהוי ושליטה בשכונה מרשתות ספקים באמצעות MAC:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. אנו יוצרים את הסט המינימלי המספיק של כללי סינון חומת אש כדי להגן על הנתב:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(הכלל מספק הרשאה לחיבורים שנוצרו וקשורים שיוזמו הן מהרשתות המחוברות והן מהנתב עצמו)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(פינג ולא רק פינג. כל icmp מותר להיכנס. שימושי מאוד למציאת בעיות MTU)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(הכלל שסוגר את שרשרת הקלט אוסר כל דבר אחר שמגיע מהאינטרנט)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(הכלל מאפשר חיבורים מבוססים וקשורים שעוברים דרך הנתב)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(הכלל מאפס חיבורים עם connection-state=invalid עובר דרך הנתב. מומלץ בחום על ידי Mikrotik, אך במצבים נדירים מסוימים הוא יכול לחסום תעבורה שימושית)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(הכלל אוסר על מנות שמגיעות מהאינטרנט ולא עברו את הליך dstnat לעבור דרך הנתב. זה יגן על רשתות מקומיות מפני פולשים, אשר בהיותם באותו תחום שידור עם הרשתות החיצוניות שלנו, ירשמו את ה-IP החיצוני שלנו כ- שער ובכך לנסות "לחקור" את הרשתות המקומיות שלנו.)

REMARK. נניח שהרשתות LAN1 ו-LAN2 מהימנות והתעבורה ביניהן ומהן אינה מסוננת.

1.6. צור רשימה עם רשימה של רשתות שאינן ניתנות לניתוב:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(זוהי רשימה של כתובות ורשתות שאינן ניתנות לניתוב לאינטרנט ויעקוב אחריהם בהתאם.)

REMARK. הרשימה נתונה לשינויים, לכן אני ממליץ לך לבדוק מעת לעת את הרלוונטיות.

1.7. הגדר DNS עבור הנתב עצמו:

/ip dns set servers=1.1.1.1,8.8.8.8

REMARK. בגרסה הנוכחית של ROS, שרתים דינמיים מקבלים עדיפות על פני שרתים סטטיים. בקשת החלטת השם נשלחת לשרת הראשון לפי הסדר ברשימה. המעבר לשרת הבא מתבצע כאשר השרת הנוכחי אינו זמין. פסק הזמן גדול - יותר מ-5 שניות. חזרה חזרה, כאשר "השרת שנפל" מתחדש, אינה מתרחשת אוטומטית. בהתחשב באלגוריתם זה ובנוכחות של multivan, המחבר ממליץ לא להשתמש בשרתים שסופקו על ידי ספקים.

1.8. הגדר רשת מקומית.
1.8.1. אנו מגדירים כתובות IP סטטיות בממשקי LAN:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. אנו קובעים את הכללים למסלולים לרשתות המקומיות שלנו דרך טבלת הניתוב הראשית:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

REMARK. זוהי אחת הדרכים המהירות והקלות לגשת לכתובות LAN עם מקורות של כתובות IP חיצוניות של ממשקי נתב שאינם עוברים במסלול ברירת המחדל.

1.8.3. הפעל NAT של סיכת שיער עבור LAN1 ו-LAN2:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

REMARK. זה מאפשר לך לגשת למשאבים שלך (dstnat) דרך IP חיצוני בזמן שאתה נמצא בתוך הרשת.

2. למעשה, יישום המולטיוואן הנכון מאוד

כדי לפתור את הבעיה של "לענות מאיפה שאלו", נשתמש בשני כלי ROS: סימן חיבור и סימן ניתוב. סימן חיבור מאפשר לך לסמן את החיבור הרצוי ולאחר מכן לעבוד עם תווית זו כתנאי ליישום סימן ניתוב. וכבר עם סימן ניתוב אפשרי לעבוד בו מסלול ip и חוקי המסלול. הבנו את הכלים, עכשיו צריך להחליט איזה חיבורים לסמן - פעם אחת, איפה בדיוק לסמן - שניים.

עם הראשון, הכל פשוט - עלינו לסמן את כל החיבורים שמגיעים לנתב מהאינטרנט דרך הערוץ המתאים. במקרה שלנו, אלו יהיו שלוש תוויות (לפי מספר הערוצים): "conn_isp1", "conn_isp2" ו-"conn_isp3".

הניואנס עם השני הוא שהחיבורים הנכנסים יהיו משני סוגים: מעבר וכאלה שמיועדים לנתב עצמו. מנגנון סימן החיבור עובד בטבלה מִגהָצָה. שקול את התנועה של החבילה על דיאגרמה פשוטה, שנערכה באדיבות על ידי המומחים של המשאב mikrotik-trainings.com (לא פרסום):

בעקבות החצים, אנו רואים שהחבילה מגיעה ל-"ממשק קלט", עובר בשרשרת"ניתוב מראש" ורק אז הוא מחולק לטרנזיט ומקומי בבלוק "החלטת ניתוב". לכן, כדי להרוג שתי ציפורים במכה אחת, אנו משתמשים סימן חיבור בטבלה Mangle Pre-routing שרשראות ניתוב מראש.

הערה:. ב-ROS, תוויות "סימן ניתוב" מופיעות כ"טבלה" בסעיף Ip/מסלולים/כללים, וכ"סימן ניתוב" בסעיפים אחרים. זה עשוי להכניס קצת בלבול להבנה, אבל, למעשה, זה אותו דבר, והוא אנלוגי של rt_tables ב-iproute2 בלינוקס.

2.1. אנו מסמנים חיבורים נכנסים מכל אחד מהספקים:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

REMARK. כדי לא לסמן חיבורים שכבר מסומנים, אני משתמש ב-connection-mark=no-mark condition במקום connection-state=new כי לדעתי זה נכון יותר, כמו גם דחיית ביטול חיבורים לא חוקיים במסנן הקלט.

passthrough=no - מכיוון שבשיטת יישום זו, סימון מחדש אינו נכלל וכדי להאיץ, ניתן להפסיק את ספירת הכללים לאחר ההתאמה הראשונה.

צריך לזכור שאנחנו עדיין לא מתערבים בשום צורה בניתוב. כעת יש רק שלבי הכנה. השלב הבא של היישום יהיה עיבוד תעבורת מעבר שחוזרת דרך החיבור שנוצר מהיעד ברשת המקומית. הָהֵן. אותן חבילות ש(ראה בתרשים) עברו דרך הנתב בדרך:

“ממשק קלט”=>”Prerouting”=>”החלטת ניתוב”=>”Forward”=>”פוסט ניתוב”=>”ממשק פלט” והגיעו לנמען שלהם ברשת המקומית.

חשוב! ב-ROS אין חלוקה לוגית לממשקים חיצוניים ופנימיים. אם נעקוב אחר הנתיב של חבילת התגובה לפי הדיאגרמה לעיל, היא תלך באותו נתיב לוגי כמו הבקשה:

“ממשק קלט”=>”Prerouting”=>”החלטת ניתוב”=>”Forward”=>”פוסט ניתוב”=>”ממשק פלט” רק לבקשה"ממשק קלט” היה ממשק ISP, ולתשובה - LAN

2.2. אנו מפנים את תעבורת התחבורה הציבורית לטבלאות הניתוב המתאימות:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

תגובה. in-interface-list=!WAN - אנו עובדים רק עם תעבורה מהרשת המקומית ו-dst-address-type=!local שאין לה את כתובת היעד של כתובת הממשקים של הנתב עצמו.

אותו דבר לגבי מנות מקומיות שהגיעו לנתב בדרך:

"ממשק קלט"=>"ניתוב מראש"=>"החלטת ניתוב"=>"קלט"=>"תהליך מקומי"

חשוב! התשובה תלך בדרך הבאה:

"תהליך מקומי"=>"החלטת ניתוב"=>"פלט"=>"ניתוב פוסט"=>"ממשק פלט"

2.3. אנו מפנים את התעבורה המקומית לטבלאות הניתוב המתאימות:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

בשלב זה, משימת ההכנה לשליחת תגובה לערוץ האינטרנט ממנו הגיעה הבקשה יכולה להיחשב כפתורה. הכל מסומן, מתויג ומוכן לניתוב.
תופעת "לוואי" מצוינת של הגדרה זו היא היכולת לעבוד עם העברת יציאות DSNAT משני הספקים (ISP2, ISP3) בו זמנית. בכלל לא, מכיוון שב-ISP1 יש לנו כתובת לא ניתנת לניתוב. השפעה זו חשובה, למשל, עבור שרת דואר עם שני MXs שמסתכלים על ערוצי אינטרנט שונים.

כדי לבטל את הניואנסים של הפעולה של רשתות מקומיות עם נתבי IP חיצוניים, אנו משתמשים בפתרונות מפסקאות. 1.8.2 ו-3.1.2.6.

בנוסף, ניתן להשתמש בכלי עם סימונים כדי לפתור את סעיף 3 של הבעיה. אנו מיישמים את זה כך:

2.4. אנו מפנים תנועה מלקוחות מקומיים מרשימות הניתוב לטבלאות המתאימות:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

כתוצאה מכך, זה נראה בערך כך:

3. הגדר חיבור לספק האינטרנט ואפשר ניתוב ממותג

3.1. הגדר חיבור ל-ISP1:
3.1.1. הגדר כתובת IP סטטית:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. הגדר ניתוב סטטי:
3.1.2.1. הוסף מסלול ברירת מחדל "חירום":

/ip route add comment="Emergency route" distance=254 type=blackhole

REMARK. מסלול זה מאפשר לתנועה מתהליכים מקומיים לעבור את שלב החלטת המסלול, ללא קשר למצב הקישורים של כל אחד מהספקים. הניואנס של תעבורה מקומית יוצאת הוא שכדי שהחבילה תעבור למקום כלשהו, לטבלת הניתוב הראשית חייבת להיות נתיב פעיל לשער ברירת המחדל. אם לא, אז החבילה פשוט תושמד.

כהרחבת כלי לבדוק שער לניתוח מעמיק יותר של מצב הערוץ, אני מציע להשתמש בשיטת המסלול הרקורסיבי. מהות השיטה היא שאנו אומרים לנתב לחפש נתיב אל השער שלו לא ישירות, אלא דרך שער ביניים. 4.2.2.1, 4.2.2.2 ו-4.2.2.3 ייבחרו כשערי "בדיקה" כאלה עבור ISP1, ISP2 ו-ISP3 בהתאמה.

3.1.2.2. מסלול לכתובת "אימות":

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

REMARK. אנו מורידים את ערך ה-scope לברירת המחדל ב-ROS target scope כדי להשתמש ב-4.2.2.1 כשער רקורסיבי בעתיד. אני מדגיש: היקף המסלול לכתובת ה"מבחן" חייב להיות קטן או שווה להיקף היעד של המסלול שיתייחס למבחן.

3.1.2.3. מסלול ברירת מחדל רקורסיבי לתנועה ללא סימן ניתוב:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

REMARK. הערך distance=2 משמש מכיוון ש-ISP1 מוכרז כגיבוי הראשון בהתאם לתנאי המשימה.

3.1.2.4. מסלול ברירת מחדל רקורסיבי לתנועה עם סימון ניתוב "to_isp1":

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

REMARK. למעשה, הנה אנחנו סוף סוף מתחילים ליהנות מפירות עבודת ההכנה שבוצעה בסעיף 2.

במסלול זה, כל התעבורה שיש לה את מסלול הסימון "to_isp1" תופנה אל השער של הספק הראשון, ללא קשר לשער ברירת המחדל פעיל כעת עבור הטבלה הראשית.

3.1.2.5. מסלול ברירת מחדל רקורסיבי ראשון עבור תעבורה מתויגת ISP2 ו-ISP3:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

REMARK. מסלולים אלו נחוצים, בין היתר, כדי לשמור תעבורה מרשתות מקומיות החברות ברשימת הכתובות "to_isp*"'

3.1.2.6. אנו רושמים את המסלול עבור התעבורה המקומית של הנתב לאינטרנט דרך ISP1:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

REMARK. בשילוב עם הכללים מסעיף 1.8.2, הוא מספק גישה לערוץ הרצוי עם מקור נתון. זה קריטי לבניית מנהרות המציינות את כתובת ה-IP המקומית בצד (EoIP, IP-IP, GRE). מכיוון שהכללים בחוקי מסלול ip מבוצעים מלמעלה למטה, עד להתאמה הראשונה של התנאים, אז כלל זה צריך להיות אחרי הכללים מסעיף 1.8.2.

3.1.3. אנו רושמים את כלל ה-NAT עבור תעבורה יוצאת:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

REMARK. NATim כל מה שיוצא, למעט מה שנכנס למדיניות IPsec. אני משתדל לא להשתמש בפעולה=מסווה אלא אם כן הכרחי. הוא איטי יותר ועתיר משאבים יותר מאשר src-nat מכיוון שהוא מחשב את כתובת ה-NAT עבור כל חיבור חדש.

3.1.4. אנו שולחים לקוחות מהרשימה שאסור להם לגשת דרך ספקים אחרים ישירות אל השער של ספק ISP1.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

REMARK. ל-action=route יש עדיפות גבוהה יותר והוא מיושם לפני כללי ניתוב אחרים.

place-before=0 - מציב את הכלל שלנו במקום הראשון ברשימה.

3.2. הגדר חיבור ל-ISP2.

מכיוון שספק ISP2 נותן לנו את ההגדרות באמצעות DHCP, סביר לבצע את השינויים הדרושים עם סקריפט שמתחיל כאשר לקוח DHCP מופעל:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

הסקריפט עצמו בחלון Winbox:

REMARK. החלק הראשון של התסריט מופעל כאשר החכירה מתקבלת בהצלחה, השני - לאחר שחרור החכירה.ראה הערה 2

3.3. הגדרנו חיבור לספק ISP3.

מכיוון שספק ההגדרות נותן לנו דינמיות, סביר לבצע את השינויים הנדרשים עם סקריפטים שמתחילים לאחר העלאת ממשק ppp ולאחר הנפילה.

3.3.1. ראשית אנו מגדירים את הפרופיל:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

הסקריפט עצמו בחלון Winbox:

REMARK. מחרוזת
/ip חומת אש mangle set [find comment="Connmark in from ISP3"] in-interface=$"interface";
מאפשר לך לטפל נכון בשינוי השם של הממשק, מכיוון שהוא עובד עם הקוד שלו ולא עם שם התצוגה.

3.3.2. כעת, באמצעות הפרופיל, צור חיבור ppp:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

כנגיעה אחרונה, בואו נכוון את השעון:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

למי שקרא עד הסוף

הדרך המוצעת ליישם מולטיוואן היא העדפה אישית של המחבר ואינה היחידה האפשרית. ערכת הכלים של ROS היא נרחבת וגמישה, מה שמצד אחד גורם לקשיים למתחילים, ומצד שני הסיבה לפופולריות שלו. למד, נסה, גלה כלים ופתרונות חדשים. לדוגמה, כיישום של הידע הנרכש, ניתן להחליף את הכלי ביישום זה של המולטיוואן בדיקת שער עם מסלולים רקורסיביים ל netwatch.

הערות

בדיקת שער - מנגנון המאפשר לבטל את המסלול לאחר שתי בדיקות לא מוצלחות רצופות של השער לזמינות. הבדיקה מתבצעת אחת ל-10 שניות, בתוספת פסק זמן התגובה. בסך הכל, תזמון המעבר בפועל נע בטווח של 20-30 שניות. אם תזמון מיתוג כזה אינו מספיק, ישנה אפשרות להשתמש בכלי netwatch, שבו ניתן להגדיר את טיימר הבדיקה באופן ידני. בדיקת שער לא יורה על אובדן מנות לסירוגין בקישור.
חָשׁוּב! השבתת מסלול ראשי תבטל את כל שאר המסלולים המתייחסים אליו. לכן, כדי שיצביעו check-gateway=ping אין צורך.
קורה שמתרחש כשל במנגנון DHCP, שנראה כמו לקוח תקוע במצב חידוש. במקרה זה, החלק השני של הסקריפט לא יעבוד, אך הוא לא ימנע מהתנועה ללכת בצורה נכונה, מכיוון שהמדינה עוקבת אחר המסלול הרקורסי המתאים.
ECMP (Equal Cost Multi-Path) - ב-ROS ניתן לקבוע מסלול עם מספר שערים ובאותו מרחק. במקרה זה, החיבורים יחולקו על פני ערוצים באמצעות אלגוריתם round robin, ביחס למספר השערים שצוינו.

על הדחף לכתיבת המאמר, עזור בעיצוב המבנה שלו ומיקומו של המבטאים - תודה אישית לאיבגני @jscar

מקור: www.habr.com

Multivan וניתוב על Mikrotik RouterOS